Gestion opérationnelle

Mises à jour

Maintien à jour de l’équipement

O1

Maintien à jour de l’équipement

P1

Des failles de sécurités dans le firmware de l’équipement peuvent permettre de contourner les mesures de sécurité et de prendre le contrôle de l’équipement. Afin de se prémunir des failles corrigées par l’éditeur, l’équipement doit être régulièrement mis à jour.

Application

Les mises à jour des versions du firmware routeur sont publiées sur le site internet d’Etic Telecom.

Les vulnérabilités concernant les versions du firmware des routeurs sont publiées sur une page dédiée.

Pour mettre à jour le firmware du routeur :

Sur la page > Accueil > Maintenance > Mises à jour du logiciel :

Paramètre Mettre à jour en utilisant un fichier de mise à jour :

  1. Choisir le fichier de mise à jour

  2. Cliquer sur le bouton Mettre à jour

Sauvegardes de la configuration

Sauvegardes régulières de la configuration

O2

Sauvegardes régulières de la configuration

P3

Une fausse manipulation, une correction ou la panne d’un équipement peuvent survenir, entraînant le besoin de rétablir la configuration pour la continuité de service, sur cet équipement ou un équipement neuf.
Afin de permettre un retour rapide à un état de fonctionnement en cas de besoin, une sauvegarde de la configuration de l’équipement doit être effectuée régulièrement.

Application

Sur la page > Accueil > Maintenance > Gestion des configurations :

Sauvegarder la configuration actuelle :

Paramètre Nom de la configuration :

  1. Nommer la configuration

  2. Cliquer sur le bouton Enregistrer

Télécharger la configuration sur le PC local :

Tableau Configurations utilisateur :

  1. Sélectionner la configuration

  2. Cliquer sur le bouton Exporter vers le PC

  3. Saisir une clé de chiffrement des secrets

Sécurité des sauvegardes

O3

Sécurité des sauvegardes

P3

Les sauvegardes permettent de rétablir la configuration d’un équipement, la disponibilité des sauvegardes influe donc sur la disponibilité de l’équipement. Les sauvegardes contiennent également des informations sensibles telles que la configuration réseau ou les identifiants, dont la divulgation impacterait la sécurité des équipements et du réseau dans son ensemble.
Afin de garantir la confidentialité, l’intégrité et la disponibilité des sauvegardes, celles-ci doivent être stockées de façon sécurisée en conformité avec la politique de sauvegarde de l’entreprise.

Application

Lors de l’export de la configuration sur un PC, il est important de choisir une clé de chiffrement des secrets présentant un niveau de sécurité suffisant (+ de 15 caractères). Lorsqu’une clé est entrée, les secrets ne pouvant être stockés hachés sont exportés chiffrés dans le fichier de configuration obtenu.

Les sauvegardes doivent être conservées et archivées uniquement sur des espaces de stockages dont la disponibilité et la confidentialité sont assurées, avec un contrôle strict sur les droits d’accès. Elles seront idéalement centralisées, et ne devraient pas être conservées en dehors d’un conteneur chiffré (Zip chiffré, Zed, etc.), sur des médias amovibles ou des appareils mobiles non chiffrés.

Externalisation des sauvegardes

O4

Externalisation des sauvegardes

P3

En cas d’incident sur le site, les sauvegardes risquent d’être détruites en même temps que l’équipement, impactant la reconstruction ultérieure de l’équipement. Pour garantir leur disponibilité, les sauvegardes devraient être externalisées, en conformité avec les PCA/PRA.

Application

Pour garantir la disponibilité des sauvegardes, il est recommandé de les externaliser, comme toute sauvegarde critique de l’infrastructure. Le site d’externalisation devra présenter les garanties nécessaires en termes de confidentialité.

Restauration des sauvegardes

O5

Restauration des sauvegardes

P3

Pour s’assurer de l’intégrité des sauvegardes, valider et pratiquer régulièrement les procédures, la restauration des sauvegardes doit être documentée et testée a minima annuellement, en conformité avec les politiques de sauvegarde de l’entreprise.

Application

Sur la page > Accueil > Maintenance > Gestion des configurations :

Restaurer une sauvegarde de configuration :

  1. Choisir le nom qui sera donné à la configuration

  2. Choisir le fichier de configuration sur le PC

  3. Saisir la clé de déchiffrement de la configuration si nécessaire

  4. Charger le fichier de configuration importé

Journalisation

Synchronisation temporelle

O6

Synchronisation temporelle

P2

Lors d’une analyse des journaux, si les équipements ne disposent pas d’une source de temps cohérente, l’horodatage des journaux risque d’être incohérent et l’analyse inexacte.
Pour uniformiser le SI et permettre une étude globale en cas de besoin, l’équipement doit être synchronisé sur un serveur de temps réputé fiable et cohérent avec les autres équipements du SI. Si la journalisation de l’équipement est exportée sur une autre machine, cette dernière doit être synchronisée avec la même source de temps.

Application

Sur la page > Accueil > Configuration > Système > Réglage date et heure > NTP :

Paramètre Synchroniser l’horloge en utilisant un serveur de temps :

  • Activer l’option

Paramètre Serveurs NTP :

  • Lister les adresses IPs ou noms de domaine des serveurs de temps séparés par une virgule.

Externalisation des journaux

O7

Externalisation des journaux

P2

En cas de dysfonctionnement ou d’attaque, la fiabilité des journaux sur l’équipement ne peut plus être garantie. La rétention des journaux sur l’équipement ne peut par ailleurs pas être garantie.
Pour garantir leur disponibilité et permettre une analyse globale, les journaux doivent être externalisés sur un serveur de journaux tiers.

Application

Pour assurer la fiabilité des journaux, il convient de mettre en place un serveur de journaux tiers permettant le stockage sécurisé des journaux.
La configuration de l’externalisation des journaux se configure sur le routeur sur la page > Accueil > Configuration > Système > Syslog :

Paramètre Actif :

  • Activer l’option

Paramètre Mode de transfert :

  • Choisir Authentification mutuelle

Paramètre Nom d’hôte du serveur :

  • Entrer le nom du serveur. Ce doit être le même nom qui se trouve dans le champ "Common name" du certificat du serveur syslog

Paramètre Certificat :

  • Sélectionner le certificat du routeur

Analyser les journaux

O8

Analyser les journaux

P3

Tracer les évènements permet de mener une investigation a posteriori en cas d’incident, mais la détection d’incidents en cours nécessite une analyse proactive des journaux.
Afin de détecter les tentatives d’accès non légitimes, ou les dysfonctionnements, il est recommandé de mettre en œuvre une analyse régulière (ou temps réel) des journaux.

Application

L’analyse des journaux ne peut être faite automatiquement par les équipements ETIC. Il faut prévoir une tache d’analyse manuelle des journaux, ou implémenter des contrôles sur le serveur de journaux ou sur le SIEM.

Supervision par SNMP (v3)

O9

Supervision par SNMP (v3)

P3

Afin d’anticiper les risques liés à la disponibilité et les comportements anormaux de l’équipement, il est recommandé de superviser l’équipement par SNMP.
SNMP v1 et v2 ne sont par nature pas sécurisés, seule la communauté permettant de "restreindre" l’accès. Les versions 1 et 2 du protocole sont par ailleurs concernées par de nombreuses failles.
Si cette supervision est mise en place, la version 3 du protocole devra être utilisée. Par ailleurs, il est recommandé de ne pas utiliser la communauté par défaut "public".

Application

La configuration du serveur SNMP sur le routeur se fait sur la page > Accueil > Configuration > Système > SNMP

  • Paramètre Version de protocole SNMP : SNMP version 3

  • Paramètre Algorithme d’authentification : SHA-256, SHA-384 ou SHA-512

  • Paramètre Algorithme de chiffrement : AES-256-CBC

Indicateurs surveillés

O10

Indicateurs surveillés

P3

Une surconsommation des ressources peut conduire à une indisponibilité des équipements.
Pour prévenir une indisponibilité des équipements, il est recommandé de surveiller l’occupation CPU, RAM et espace disque de l’équipement, ainsi que le nombre de connexions VPN simultanées.

Application

Les indicateurs peuvent être interrogés par SNMP en utilisant les OIDs fournis dans la MIB-2 standard.

Monitoring long terme

O11

Monitoring long terme

P3

Selon les usages, les équipements peuvent se trouver en limite/dépassement capacitaire dans des périodes données (phases de consolidations d’informations, attaques …​)
Pour repérer les comportements anormaux des équipements, il est recommandé de mettre en place un historique des indicateurs surveillés et de suivre leur évolution dans le temps.

Application

Les scénarios de surveillance devront être mis en place au niveau de la solution de supervision.

Analyse de trafic réseau avec ERSPAN

O12

Analyse de trafic réseau avec ERSPAN

P3

Analyser le trafic réseau est une mesure de sécurité préventive, elle permet de dépanner le réseau, de détecter des anomalies ou du trafic malveillant.
Le port mirroring avec ERSPAN est une technique pour analyser le réseau, celle-ci permet d’envoyer une copie du trafic monitoré à un équipement distant qui pourra analyser les paquets.

Application

Un serveur devra être mis en place pour recevoir le trafic mirroré et gérer l’analyse de paquets.
La configuration du mirroring ERSPAN sur le routeur se fait sur la page Configuration > Réseau > ERSPAN.

Authentification

Politique de mot de passe

O13

Politique de mot de passe

P2

La compromission de mot de passe utilisateur peut conduire à un accès illégitime au SI. Un mot de passe trop simple pourra être facilement trouvé lors d’une attaque de type brute force, par dictionnaire ou cassage de hash.
Afin de se prémunir contre une telle attaque, il est important de définir une politique de mot de passe au niveau organisationnel conformément au document (ANSSI-PG-078).

Application

Définir une politique de mot de passe au niveau de l’organisation. Nous recommandons des mots de passes qui contiennent :

  • 16 caractères minimum

  • Au moins une majuscule, une minuscule et un chiffre

  • Au moins un caractère spécial &$%[]{}=?!-_*+~#@

Utiliser un système d’authentification centralisé

O14

Utiliser un système d’authentification centralisé

P2

Lorsqu’on a une flotte de routeur, la gestion des listes d’utilisateurs locale sur les routeurs devient vite fastidieuse à gérer. Le maintien d’une même liste d’utilisateurs dupliquée sur plusieurs routeurs peut mener à des erreurs et des oublis sur un des routeurs.
Pour éviter ces problèmes de sécurité, il convient de gérer la flotte de routeurs de manière centralisée.

Application

Un serveur d’authentification centralisée de type Active directory ou autre serveur LDAP devra être mis en place pour gérer l’authentification des utilisateurs sur la flotte.
La configuration de la délégation d’authentification se fait sur la page > Accueil > Configuration > Sécurité > Authentification.

Désactiver la mise en cache LDAP

O15

Désactiver la mise en cache LDAP

P1

Le système d’authentification centralisé permet la mise en cache des identifiants d’authentification pendant une durée configurable. Si un compte venait à être bloqué, changeait de groupe, ou voyait son mot de passe changé, l’authentification, avec les anciens identifiants, serait toujours possible durant le temps de mise en cache si le serveur n’est pas joignable.
Pour éviter d’autoriser une demande d’accès qui aurait été désactivée sur le serveur LDAP, il convient de désactiver la mise en cache des identifiants.
Attention, en cas d’absence de communication entre le routeur et l’annuaire centralisé, l’authentification ne sera plus possible.

Application

Sur la page > Accueil > Configuration > Sécurité > Authentification :

Décocher le paramètre Mettre en cache les identifiants

Utiliser LDAPS uniquement

O16

Utiliser LDAPS uniquement

P1

Les protocoles RADIUS et TACACS+ ne présentent pas un niveau de sécurité suffisant. Par ailleurs, il présente certaines limitations puisqu’il ne permet pas de définir des rôles pour les administrateurs.
Afin d’améliorer la sécurité du système d’authentification centralisé, il est nécessaire d’utiliser le protocole sécurisé et chiffré LDAPs.

Application

Sur la page > Accueil > Configuration > Sécurité > Authentification :

  • Type d’authentification : LDAP

  • Cocher le paramètre LDAP sur TLS

Activer la protection de l’authentification

O17

Activer la protection de l’authentification

P1

L’attaque par force brute est une méthode consistant à essayer toutes les combinaisons de mot de passe possibles afin de trouver les identifiants d’un utilisateur, et ainsi usurper son identité et accéder à une augmentation de privilèges.
Afin d’améliorer la sécurité du système d’authentification, il est nécessaire de protéger l’authentification des attaques par force brute.

Application

Sur la page > Accueil > Configuration > Sécurité > Authentification, dans la section 'Protection de l’authentification' :

  • Cocher le paramètre Actif

Avertissement à l’authentification

O18

Avertissement à l’authentification

P3

L’affichage d’un message de notification d’utilisation du système avant de procéder à l’authentification est un élément de dissuasion pour toute personne voulant s’introduire illégalement dans le produit.
Cela permet la poursuite pénale des contrevenants et la démonstration d’une violation intentionnelle.

Application

Sur la page > Accueil > Configuration > Sécurité > Authentification, dans la section 'Avertissement à l’authentification', renseigner un message à afficher sur toutes les interfaces d’authentification dans le paramètre Message d’avertissement avant l’authentification